• Si aún no lo has hecho, ponte en contacto con el equipo de pruebas de Falcon en FalconTrial@CrowdStrike.com para solicitar acceso al laboratorio de malware virtual. El laboratorio está alojado por CloudShare.
• Recibirás una invitación de CloudShare por correo electrónico. Haz clic en el enlace y sigue las instrucciones para completar el registro.
• Haz clic en la pestaña Laboratorio de malware virtual en la barra de navegación para acceder a la máquina de pruebas. El laboratorio puede tardar unos minutos en cargar. Puedes continuar con el paso 2.

Descargar muestras de malware.

Haz doble clic en Descargar muestras para descargar todos los archivos. Debes Descargar muestras antes de instalar el sensor Falcon. Si anteriormente habías omitido este paso, revierte el entorno para volver al estado por defecto.

Para revertir el entorno:

• Selecciona Acciones del entorno > Revertir entorno
• Un script obtendrá todas las muestras y las colocará en la carpeta Archivos de muestra del escritorio.
• Pulsa cualquier tecla en el script para continuar.

Instala el sensor de Falcon

Una vez que hayas descargado las muestras y antes de comenzar las pruebas, ya sea en tu propio laboratorio o en el entorno virtual proporcionado, deberás implementar sensores en cada host y verificar que los sensores estén instalados y conectados a nuestra nube correctamente.

Instrucciones paso a paso:

• Inicia sesión en tu cuenta de prueba.

• Selecciona Centro de Recursos de Falcon > Habilidades esenciales > "Proteger mis endpoints" para tu sistema operativo. Se te guiará a través del proceso de implementación del sensor.

• Para obtener más ayuda sobre la implementación de sensores, visita: /content/crowdstrike-www/language-masters/global/en/free-trial-guide/start-and-install/

Verifica el host activo y la directiva de prevención

• El sensor recién instalado debe tener una directiva de prevención.

• Confírmalo en la plataforma de CrowdStrike Falcon. Ve a Configuración y administración de hosts > Administración de hosts. Comprueba que aparezca el nombre de host CSFALCONPREVENT en la lista. La columna Directiva de prevención debe mostrar platform_default como directiva asignada.

• Confírmalo con la Seguridad de Windows. Busca el sensor CrowdStrike Falcon en Protección contra virus y amenazas.

• Probaremos una muestra no maliciosa para asegurarnos de que el host tiene un sensor que funciona de acuerdo con la directiva de prevención predeterminada.

• Haz doble clic en Archivos de muestra, selecciona No maliciosos y ejecuta cs_maltest.exe.
• Con la directiva de prevención predeterminada de Windows, posiblemente veas dos mensajes, similares a los que se muestran aquí, en el sistema del cliente.

• Accede a Seguridad de endpoints > Panel de actividad. La tarjeta Nuevas detecciones debe mostrar 4 nuevas detecciones (incluidas 3 detecciones de muestra). La tarjeta Detecciones más recientes también debe mostrar una nueva detección de gravedad alta.

• Ahora accede a Seguridad de endpoints > Detecciones de endpoints. Deberías ver la detección de gravedad alta en tu host CSFALCONPREVENT.

• Con cada prueba, generarás una nueva detección.
• Ahora que tienes el sensor instalado con la directiva de prevención por defecto activada, ya puedes llevar a cabo pruebas con muestras reales.

• Haz doble clic en Archivos de muestra y selecciona Malware para ver las muestras de malware que te hemos proporcionado.
• Usa estas muestras para generar detecciones en la plataforma de Falcon y administra estas detecciones en la página Detecciones de endpoints.

• Ejecuta una muestra de malware desde el Explorador de Windows.
• Haz doble clic en cualquiera de las muestras de malware.
• Ahora regresa a Seguridad de endpoints > Detecciones de endpoints en la plataforma de Falcon y haz clic en el icono Detalles completos de las detecciones.
• Ten en cuenta que explorer.exe es el proceso principal.
• Sirve para comprender cómo se ha ejecutado un ataque.

• Ejecuta una muestra desde el símbolo del sistema (cmd.exe).
• Abre el símbolo del sistema.

• Toma una muestra y súbela al símbolo del sistema.
• Accede a la página Detecciones de endpoints y selecciona la detección. Observa que el proceso principal del malware es ahora cmd.exe.

• Empecemos por WannaCry, el ransomware que atacó al Servicio Nacional de Salud británico en 2017.

• Haz doble clic en Archivos de muestra, selecciona Ransomware y luego ejecuta WannaCry. Debes ver notificaciones tanto de Windows como del sensor CrowdStrike Falcon.

• Regresa a las muestras de Ransomware y ejecuta Locky.

• Ve a los Detalles de ejecución de la detección de Locky. Podrás ver la acción realizada, la táctica y la técnica utilizada, además de otra información útil.

• Accede a Escritorio > Archivos de muestra > IOA-Conductual.
• Haz doble clic en el archivo de procesamiento por lotes Credential_Dumping.bat. Este script ejecutará un comando de PowerShell codificado para capturar credenciales.
• Accede a la página Detecciones de endpoints e inspecciona la nueva detección.
• En el panel Detalles de ejecución, localiza el detalle de la Línea de comandos y comprueba que el conmutador Mostrar descodificado esté activado. Podemos ver el argumento completo de la línea de comandos que se utilizó. Ninguna otra solución de antivirus (AV) proporciona ese nivel de detalle. Puedes ver cómo este script de PowerShell habría descargado Mimikatz.

• Accede a Escritorio > Archivos de muestra > IOA-Conductual.
• Haz doble clic en el archivo de procesamiento por lotes Sticky_Keys.bat.
• El archivo se ejecutará en una ventana del símbolo del sistema.
• Modificará en secreto una clave de registro que permitiría a un ciberdelincuente iniciar sesión en la máquina sin tener que proporcionar nombre de usuario ni contraseña.
• Usa el teclado del laboratorio virtual y selecciona el botón "enviar ctrl+alt+supr" para que aparezca la pantalla de bloqueo de Windows.
• Haz clic en la opción Facilidad de acceso en la esquina inferior izquierda y en la pantalla que aparecerá.
• Marca la casilla Teclear sin el teclado (teclado en pantalla) y luego pulsa Aplicar.

• Encontrarás una nueva alerta crítica en las Detecciones más recientes de tu Panel de actividad y en la página Detecciones de endpoints.
• Sal de la pantalla de bloqueo de Windows y vuelve a la plataforma de Falcon.
• Al expandir la nueva alerta en la página Detecciones de endpoints, podemos ver que se ha bloqueado reg.exe y que la táctica y técnica son la persistencia. Observa que la descripción de IOA recomienda investigar la clave del registro.

• En este escenario, simularemos un ataque de phishing: abriremos un correo electrónico con un archivo adjunto malicioso.

• En el laboratorio de malware virtual, abre Outlook y ve a la bandeja de entrada. Puedes cancelar los mensajes del asistente de activación. Abre el correo electrónico de Richard. Este ataque de phishing afirma que el usuario tiene impagos asociados a la estancia en un hotel.

• Haz doble clic en Folio-0701-2017-00873.xls. Tendrás la opción de abrir, guardar o cancelar la descarga. Para este ejemplo, abre el archivo.
• Una vez que hayas abierto el archivo de Excel adjunto, aparecerán el error de Microsoft Visual Basic y los mensajes de CrowdStrike Falcon.
• Esto indica que Falcon ha impedido que el documento ejecute sus payloads maliciosos en segundo plano.

• Al abrir el archivo adjunto, se activa una nueva alerta en la plataforma de Falcon.
• Al expandir la nueva alerta en la página Detecciones de endpoints, se muestra claramente que esta amenaza provenía de Outlook.exe y que los datos adjuntos de Excel iniciaron PowerShell.
• Para obtener aún más detalles sobre la actividad de PowerShell, accede a Detalles de ejecución > Línea de comandos. Verás que PowerShell ha intentado ejecutar un comando oculto y descargar el script malicioso de Github.
• La directiva de hash puede administrarse directamente desde una detección.
• Eso significa que, si se crea una detección para un archivo malicioso, este puede añadirse de inmediato a la lista negra mediante el panel Detalles de ejecución, situado a la derecha de la alerta seleccionada.
• Para ello, simplemente haz clic en el botón Actualizar directiva de hash para el hash seleccionado y efectúa los cambios. Lo mismo sucede si una aplicación personalizada provoca falsas alertas y debe añadirse a la lista blanca.

• Ejecuta una aplicación.
• Accede a Escritorio > Archivos de muestra > No malicioso.

• Haz doble clic y ejecuta la aplicación Show_a_Hash.exe (esta aplicación no hace más que mostrar su propio hash de archivo en un símbolo del sistema).

• Usaremos ese hash para incluir el archivo en la lista negra y evitar que se vuelva a ejecutar.
• Copia el hash del símbolo del sistema o aquí:
  4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f

Añadir el indicador de compromiso manualmente

• Accede a Seguridad de endpoints > Gestión de indicadores de compromiso.

• Haz clic en Añadir indicadores > Añadir hashes.

Añadir hashes manualmente

• Pega el hash copiado en el recuadro.

• Marca "Todos los hosts" y selecciona lo siguiente: Plataforma > Windows; Acción > Bloquear y mostrar como detección; Gravedad > Crítica.
• Para terminar, haz clic en Añadir hashes.
• Ejecuta la aplicación de nuevo.
• Regresa al escritorio (cierra la ventana del símbolo del sistema), haz doble clic en Show_a_Hash.exe de nuevo y observa que esta vez no se ejecuta.
• En la plataforma de Falcon, accede a Detecciones de endpoints e inspecciona la nueva alerta.
• La directiva de hash puede administrarse directamente desde una detección. Eso significa que, si se crea una detección para un archivo malicioso, este puede añadirse de inmediato a la lista negra mediante el panel Detalles de ejecución, situado a la derecha de la alerta seleccionada.
• Para ello, simplemente haz clic en el botón Actualizar directiva de hash para el hash seleccionado y efectúa los cambios. Lo mismo sucede si una aplicación personalizada provoca falsas alertas y debe añadirse a la lista blanca.